域控制器不自动注册新的2016 CA的Kerberos证书

Question

我将Windows2008Windows2016DC和Enterprise迁移到新的Windows2016DC和CA。除了我有一些RODC和可写DC在CA中显示“失败请求”以自动注册KerberosAuthentication证书外，一切看起来都是稳定的。

错误是：

事件ID: 13本地系统的证书注册未能注册从CAServer.domain.com\domain( RPC服务器不可用)请求ID 1052的KerberosAuthentication证书。0x800706ba (WIN32: 1722)。

连同：

事件ID: 6本地系统自动证书注册失败(0x800706ba) RPC服务器不可用。

所有其他自动注册都是从这些DC中进行的，大多数DC没有显示这种行为，只为包括KerberosAuthentication证书在内的所有证书注册。

是什么原因导致这些特定的客户端不能自动注册这个KerberosAuthentication证书？

Answer 1

在对此进行研究并尝试了多个CA certutil命令和其他命令之后，我将直接跳过对我有用的实际答案：

大多数情况下，像"RPC服务器不可用“这样的问题可以归因于网络连接问题或防火墙规则。

然而，在我的例子中，有问题的DC没有运行Windows防火墙。但事实证明，这正是问题所在。有人决定不再关闭网络和共享中心中的防火墙(不是最佳实践，而是我)，而是禁用了Windows防火墙服务本身。

正如这里所讨论的，这实际上是一个糟糕的想法：如何备份不禁用防火墙服务的建议？

答案：

1. 在出现问题的DC上，不能获得证书，启动Windows Firewall服务并将其设置为自动启动。
2. 如果在您的环境中需要(可能是因为服务被某人停止)，请根据需要为域网络关闭Control Panel, System and Security, Windows Firewall中的Windows等。
3. 验证该DC的辅助DNS服务器是否通过回送地址指向其自身。在我的例子中，我有一些不是，他们的主要是目前无法通过广域网访问。
4. 在有问题的DC上运行certutil -pulse
5. 再次检查应用程序事件日志(应该显示注册情况)